CN105913257A - 用于检测欺诈性在线交易的***和方法 - Google Patents

用于检测欺诈性在线交易的***和方法 Download PDF

Info

Publication number
CN105913257A
CN105913257A CN201510868287.4A CN201510868287A CN105913257A CN 105913257 A CN105913257 A CN 105913257A CN 201510868287 A CN201510868287 A CN 201510868287A CN 105913257 A CN105913257 A CN 105913257A
Authority
CN
China
Prior art keywords
frame
event
electronic transaction
computer
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201510868287.4A
Other languages
English (en)
Other versions
CN105913257B (zh
Inventor
叶夫根尼·B·科罗汀斯基
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of CN105913257A publication Critical patent/CN105913257A/zh
Application granted granted Critical
Publication of CN105913257B publication Critical patent/CN105913257B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/382Payment protocols; Details thereof insuring higher security of transaction
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/401Transaction verification
    • G06Q20/4016Transaction verification involving fraud or risk level assessment in transaction processing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/40Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
    • G06Q20/405Establishing or using transaction specific rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q20/00Payment architectures, schemes or protocols
    • G06Q20/38Payment protocols; Details thereof
    • G06Q20/42Confirmation, e.g. check or permission by the legal debtor of payment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • Accounting & Taxation (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Finance (AREA)
  • General Business, Economics & Management (AREA)
  • Strategic Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Economics (AREA)
  • Development Economics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Virology (AREA)
  • Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
  • User Interface Of Digital Computer (AREA)
  • Debugging And Monitoring (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

本发明公开了一种用于检测欺诈性在线交易的***和方法。示例性的方法包括:接收与电子交易有关的数据,所述数据包括用户动作数据和恶意软件动作数据中的至少一者;基于在电子存储器中存储的预定的算法,分析所述数据以确定所述电子交易是否是可能的欺诈交易;确定所述可能的欺诈交易是否是合法的电子交易;以及如果所述硬件处理器确定所述可能的欺诈交易是合法的电子交易,则调节所述预定的算法的操作参数。

Description

用于检测欺诈性在线交易的***和方法
技术领域
本发明总体涉及计算机安全领域,更具体地,涉及检测欺诈性在线交易的***和方法。
背景技术
当今,有大量的可以用来进行各种在线交易的软件应用程序。使用标准浏览器在网上银行的辅助下进行很多交易,也使用独立的银行客户端,尤其是在移动平台上受欢迎的银行客户端。当使用浏览器进行交易时,用户通常去往银行网站并进行授权(其有时是双因素类型,例如使用SMS或令牌),之后,用户能够对其存款进行操作。
不必惊讶的是,随着在线支付的增长,电脑黑客已对该服务区域越来越感兴趣,积极探索截获交易数据从而非法转移资金的方式。通常使用安装到用户的计算机上、从而使计算机感染的恶意程序来进行数据窃取。最常见的是,这样的程序通过受欢迎的网上浏览器来使计算机感染;可以在通过输入设备(诸如键盘或鼠标)输入数据时或者将数据发送至网页浏览器时来截获该数据。例如,使浏览器感染的恶意程序可以访问浏览器文件、网页访问历史记录和对于所访问的网页的用户密码。键盘记录器截获从键盘或鼠标进行的数据输入、进行屏幕截图并通过各种各样的隐藏程序技术来隐藏它们在***中的存在。也使用类似的技术来截获网络数据包(流量嗅探器),该类似的技术截获正在发送的网络数据包并从该网络数据包提取有价值的信息,诸如密码和其它个人数据。应当明白,最常见的是通过采用软件中的缺陷来使感染发生,使得可以使用各种安全漏洞来进入计算机***。
尽管现有的防病毒技术(诸如使用签名匹配、启发式分析、主动防御、或使用被信任的应用程序的列表(即白名单))能够检测出用户计算机上的很多恶意程序,但并不是总能够识别它们的很多的新的病毒改型或变型,其中,新的病毒改型或变型正以越来越高的频率出现。因此,需要能够确保在线交易(诸如在线支付)对于用户而言安全的解决方案。
考虑到在线服务和在线交易上的黑客攻击越来越多,银行正在使用它们自己的验证在线交易的可靠性的方式。一种这样的验证基于对用户正在输入的数据的分析,来识别恶意程序(例如bot程序)的工作。例如,一些***基于与特定的数据输入参数的过度高的值相关联的异常来检测欺诈。其它的***可以基于某些参数(诸如,进行的交易的数量)的过大的改变来检测欺诈。
然而,常规的***不提供检测和处理误报(第一种错误)的方式,但是由金融机构(例如,银行、电子商务网站)提供的服务的质量直接取决于这样的错误的数量。因此,需要改进的检测欺诈性在线交易的***和方法。
发明内容
公开了一种用于优化欺诈性在线交易的检测的***和方法。在一个方面中,用于检测欺诈交易的示例性方法包括:通过通信接口接收与电子交易有关的数据,所述数据包括用户动作数据和恶意软件动作数据中的至少一者;基于在电子存储器中存储的预定的算法,通过硬件处理器分析所述数据以确定所述电子交易是否是可能的欺诈交易;通过所述硬件处理器确定所述可能的欺诈交易是否是合法的电子交易;以及如果所述硬件处理器确定所述可能的欺诈交易是合法的电子交易,则通过所述硬件处理器调节所述预定的算法的操作参数。
在另一方面中,所述与电子交易有关的数据是在预定的时间段期间由执行请求的电子交易的计算机执行的事件的数量。
在另一方面中,由所述计算机执行的所述事件可以包括以下中的至少一者:键盘上的按键的激活数量;计算机鼠标的按钮的激活数量;所述鼠标或轨迹球的移动轨迹;下载网页;选择所述网页上的链接的频率;键击的时刻;以及在键击期间的错误的出现和校正。
在另一方面中,所述预定的时间段是所述预定的算法的所述操作参数中的至少一个操作参数。
在另一方面中,所述方法包括通过以下操作来调节所述操作参数:通过将由所述计算机执行的所述电子交易的平均持续时间除以由所述计算机执行的所述事件的数量,计算平均片格(frame)值;通过将由所述计算机执行的所述电子交易的最小持续时间除以由所述计算机执行的事件的数量,计算最小片格值;计算所述平均片格值的和所述最小片格值的相应的倒数;以及将所述预定的时间段更新为计算的各个倒数的平均值。
在另一方面,所述方法包括通过以下操作来调节所述操作参数:将由所述计算机执行的所述电子交易的时间分成具有相等持续时间的多个片格;对所述多个片格中的每一片格中的事件的数量进行计数;计算在所述多个片格中的每一片格中的所述事件的数量的平均值和离差;根据以下公式计算成本函数:
C n ( Δ ) = 2 k - v ( n Δ ) 2 ,
其中,k是所述平均值,v是所述离差,Δ是所述多个片格中的每一片格的所述持续时间,以及n是对所述预定的算法调节的数量;以及更新所述预定的时间段以最小化所计算的成本函数。
在另一方面中,所述方法包括通过以下操作来调节所述操作参数:将由所述计算机执行的所述电子交易的时间设定为单个片格;对在所述单个片格中的事件的数量进行计数;如果所述事件的数量大于0,将所述单个片格分成两个相等的片格;继续将所述两个相等的片格中的每个片格分别分成另外的两个相等的片格,直到所述另外的两个相等的片格中的一个片格具有0数量的事件;以及基于具有0数量的事件的所述另外的两个相等的片格中的一个片格的片格尺寸,更新所述预定的时间段。
在另一方面中,公开了一种用于检测欺诈交易的***,所述***包括:通信接口,所述通信接口被配置成接收与电子交易有关的数据;以及硬件处理器,所述硬件处理器被配置成:基于在电子存储器中存储的预定的算法,分析所述数据以确定所述电子交易是否是可能的欺诈交易,确定所述可能的欺诈交易是否是合法的电子交易,以及如果所述硬件处理器确定所述可能的欺诈交易是合法的电子交易,则调节所述预定的算法的操作参数。
示例性方面的上述简化的发明内容用于提供对本发明的基本理解。该发明内容不是对考虑的所有方面的全面概述,且既不意在识别所有方面的关键或重要的因素,也不意在描述本发明的任何方面或所有方面的范围。其唯一目的是将简化形式的一个或多个方面呈现为本发明的下面的更详细的描述的前奏。为了实现上述内容,本发明的所述一个或多个方面包括所描述的、尤其在权利要求书中所指出的特征。
附图说明
并入到本说明书中并构成本说明书的一部分的附图示出了本发明的一个或多个示例性方面,并且结合详细描述一起用来说明示例性方面的原理和实现方式。
图1示出了用于在线交易的示例性用户动作的直方图;
图2示出了用于在检测欺诈性在线交易中识别误报的示例性***;
图3示出了在检测欺诈性在线交易中识别误报的示例性方法;以及
图4示出了根据示例性方面的可在其上实现所公开的***和方法的通用计算机***(其可以是个人计算机或服务器)的示例。
具体实施方式
所公开的***和方法消除了用于防止在线欺诈和在检测欺诈性在线交易中识别误报的常规解决方案的缺点。本文在用于检测计算机上的欺诈交易的***、方法和计算机程序产品的上下文中描述了示例性方面。本领域的技术人员将明白,下文的描述仅仅是说明性的且不意在以任何方式进行限制。其它方面将容易地将自身表明给了解本发明的优势的本领域的技术人员。现在将详细参考附图中示出的示例性方面的实现方式。在所有附图中和下面的描述中,将尽量使用相同的附图标记来指代相同或相似的项。
通常,试图进行在线购物或在银行网站上对其存款进行一系列动作的计算机用户将进行一系列动作,包括但不限于按下鼠标或键盘的按键、下载某些页面、进行交易、进行数据输入/输出、进行与在线交易有关的其它动作等。会话是一组受一定片格限制的这样的用户动作,该片格通常是时间段。该时间段可以是固定的(例如10分钟)或者取决于某些参数(例如,通过用户进入和离开网站所决定的会话时间)。
图1示出了用于在线交易的用户动作的直方图。如图所示,直方图100示出了取决于时间的用户动作的数量。出于示例性目的,图1假定了直方图100表示单个的用户会话。具体地,每一列120示出了在给定的时间间隔(例如,1秒)中的动作的示例性数量。列120的组形成了片格110,片格110的尺寸可以变化。因此,本领域的技术人员将理解,会话可以包括多个片格。出于本发明的目的,假设会话包括一个或多个片格110。从分析的角度看,片格110用于识别欺诈交易的逻辑。通常,本文公开的***和方法对在所选择的片格110内发生的事件进行分析以识别偏差(例如异常现象),该偏差接着可以被解释为由恶意程序(即恶意软件)进行的欺诈交易。
所公开的***和方法解决了选择片格110的尺寸的问题,从而消除与用户动作相关联的可能的误报。
图2示出了用于在检测欺诈性在线交易期间识别误报的示例性***230。在示例性方面中,恶意程序280可以安装在用户的计算机210上,该恶意程序280可以在用户不知情的情况下从用户的计算机210进行一个或多个欺诈交易。然后,交易数据被发送到银行的网页服务240或支付服务,在该网页服务240或支付服务处,该交易数据将正常地被处理从而在服务器端(后台,在图2中没有示出)进行交易。为了从欺诈行为的角度来评估该交易,可以包括用户动作数据和/或恶意软件动作数据的交易数据被提供给数据分析模块250,该数据分析模块250使用来自规则数据库260的规则来检测欺诈交易。
考虑到,检测方法类似于上文讨论的方法,并且基于诸如在单位时间中进行的动作的数量的数据。一般而言,欺诈交易的特征在于,与个人进行的惯常交易相比有多个异常现象。例如,个人通过使用鼠标在相当长的时间内输入关于交易的数据,从而在数据输入窗口的元件等之间进行切换。相反,使用数据输入的欺诈性方法的特洛伊木马程序通常不同于用户交易,例如,在其执行期间,没有来自鼠标或键盘的实际数据输入,该数据输入相当快,等等。数据分析模块250可以确定这些差异,从而检测可能的欺诈交易。
另一方面,例如,如果用户的动作像可能的欺诈交易,则用于检测欺诈交易的不良调节的数据分析模块或错误规则阻止来自用户的交易,这种情况下当然有可能会出现误报。为了消除或减少误报,***230包括调节模块270,该调节模块270被配置成改变数据分析模块250或数据库260的操作参数。
在一个示例性方面中,安全模块220(诸如防病毒软件)也被安装在计算机210上,安全模块220将关于用户交易的另外的信息发送给调节模块270。安全模块220通常被配置成检测恶意程序280,这是本领域的技术人员会理解的,但当防病毒数据库并没有在安全模块220中得到更新时或用于其检测的模块被关闭时,并不总是可以进行该检测。
图3示出了在检测欺诈交易期间识别误报的示例性方法。如图所示,在步骤310中,在交易期间收集交易数据。在步骤320中,基于所收集的数据,确定一个或多个可能的欺诈交易。接下来,在步骤330中,该方法基于交易数据检查误报的可能性。如果没有识别出误报,则在步骤340中,***继续以正常模式操作。该正常模式可以包括将步骤310到步骤330作为循环而重复。如果识别出误报,则在步骤350中,该***被配置成改变操作参数。下面将讨论图3中示出的步骤的细节。
根据示例性方面,步骤310可以包括获得来自用户的计算机210和/或来自银行的网页服务240连同数据分析模块250的信息。该数据可以被收集在一个或多个片格110内且可以包括但不限于:(i)键盘上的按键或鼠标的按钮的激活数目;(ii)鼠标或轨迹球的移动轨迹;(iii)网页的下载;(iv)网页上的链接的点击频率(速度);以及(v)用户进行数据输入的独特性(例如,键击之间的间歇、输入期间的错误的出现和校正、使用鼠标以及填写网页上的数据输入字段的特征等)。
如上所述,该数据(其可以被视为用户动作或事件)被输入到用于确定欺诈交易的算法中。如上所述,当来自恶意程序的交易将不同于实际计算机用户所进行的交易时,有很多用于检测以类似的方式操作的欺诈交易的已知算法,该已知算法基于识别所输入的该组数据中的异常现象。用于检测欺诈交易的这样的算法的示例公开于美国专利No.8,650,080和美国公布文本No.2012/0204257中,该美国专利和美国公布文本均以引用的方式并入本申请。
然而,如上所述,这些用于检测欺诈交易的算法不受误报的影响。换言之,该算法可能将合法的电子交易错误地识别为欺诈性的。例如,这可以在交易期间的数据输入中用户的特定行为可能部分地类似于恶意程序的工作模型时发生,这可能导致交易被数据分析模块250识别为欺诈性的且被该数据分析模块250阻止。为了纠正这些错误,所公开的方法在步骤330中识别误报(即,合法的电子交易被识别为欺诈性的)。
在各个方面中,误报可以采用以下不同的方式来识别:(i)从计算机210的用户接收具有关于失败的电子交易的信息的通知,该通知有助于将该交易识别为合法的;(ii)从安全模块220接收该欺诈交易实际上是合法的且安全的通知;以及本领域的技术人员知道的其它方法。
当检测到误报时,***230被配置成在步骤350中执行改变用于检测欺诈交易的上述的一个或多个算法的操作参数。在一个方面中,可以通过根据事件数量来改变片格110的尺寸而改变操作参数。
在一个示例性方面中,算法的训练可以包括:收集关于会话的数据(例如持续时间);计算对于片格110的平均值(例如,会话的平均持续时间除以该会话期间的事件的平均数量);计算用于片格110的最小值(例如,将该会话的最小持续时间除以该会话期间的事件的最小数量);计算用于片格110的平均值和最小值的倒数;以及将片格尺寸110更新为两个计算出的倒数的平均值)。
在另一示例性方面中,算法的训练可以包括:将会话分成若干个相等持续时间的片格110);对每个片格110中的事件数量进行计数;计算每列120中的事件数量的平均值和离差;以及根据以下公式计算成本函数:
C n ( Δ ) = 2 k - v ( n Δ ) 2 ,
其中,k是平均值,v是离差,Δ是片格尺寸,以及n是训练会话的数量。一旦计算出成本函数,则改变片格尺寸110以最小化成本函数。
在另一示例性方面中,算法的训练可以包括:将整个会话作为一个片格110;对在片格110中的事件的数量进行计数;如果事件的数量大于0,则将该片格分成两个相等的片格;重复上一步骤,直到在多个片格中的一个片格中的事件的数量等于0;以及基于先前的片格除法迭代(frame division iteration)来选择片格尺寸。
根据示例性方面,在选择/更新片格尺寸110后,用于在检测的欺诈交易中识别误报的***230继续操作,直到检测到新的误报。根据另一方面,***可以基于一定数量的先前的误报的累积来检测误报。在又一方面中,仅仅在误报与所检测到的欺诈交易的总数的比率超出一定阈值(例如,0.01)后,所公开的***230才可以执行在图3中示出的步骤。
图4示出了根据示例性方面的可在其上实现所公开的***和方法的通用计算机***(其可以是个人计算机或服务器)的示例。计算机***20包括中央处理单元21、***存储器22和连接各个***部件的***总线23,所述各个***部件包括与中央处理单元21相关联的存储器。***总线23被实现为如同现有技术中已知的任何总线结构,则包括总线存储器或总线存储器控制器、***总线和局部总线,该***总线23能够与任何其它的总线架构相互作用。***存储器包括只读存储器(ROM)24和随机存取存储器(RAM)25。基本输入/输出***(BIOS)26包括确保个人计算机20的元件之间的信息传输的基本程序,诸如在通过使用ROM 24下载操作***时的基本程序。
个人计算机20则包括用于数据的读和写的硬盘27、用于在可移除的磁盘29上读和写的磁盘驱动器28和用于在可移除的光盘31(诸如CD-ROM、DVD-ROM和其它的光学信息媒介)上读和写的光驱30。硬盘27、磁盘驱动器28和光驱30分别经由硬盘接口32、磁盘接口33和光驱接口34而连接到***总线23。驱动器和对应的计算机信息媒介是用于存储个人计算机20的计算机指令、数据结构、程序模块和其它数据的电力独立的模块。
本发明提供了使用硬盘27、可移除的磁盘29和可移除的光盘31的***的实现方式,但应当理解,可以使用其它类型的能够存储计算机可读的形式的数据的计算机信息媒介56(固态驱动器、闪存卡、数字卡、随机存取存储器(RAM)等),该计算机信息媒介56经由控制器55连接至***总线23。
计算机20具有保存记录的操作***35的文件***36以及另外的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠标42)将命令和信息输入到个人计算机20。可以使用其它的输入设备(未示出):耳机、控制杆、游戏控制器、扫描仪等。这样的输入设备通常通过串行端口46而插接到计算机***20中,该串行端口46则连接至***总线,但这样的输入设备可以以其它方式(例如在并行端口、游戏端口或通用串行总线(USB)的辅助下)被连接。监控器47或其它类型的显示设备也经过接口(诸如视频适配器48)连接至***总线23。除了监控器47外,个人计算机还可以配备有其它的***输出设备(未示出),诸如扬声器、打印机等。
个人计算机20能够使用与一个或多个远程计算机49的网络连接而工作在网络环境中。一个或多个远程计算机49也是具有描述个人计算机20的性质的上述元件中的大多数元件或所有元件的个人计算机或服务器,如图4所示。其它设备也可以存在于计算机网络中,诸如路由器、网络站、对等设备或其他网络节点。
网络连接可以形成局域计算机网络(LAN)50(诸如有线网络和/或无线网络)和广域计算机网络(WAN)。这样的网络用在企业计算机网络和企业内网络中,且它们通常有权访问互联网。在LAN网络或WAN网络中,个人计算机20经过网络适配器或网络接口51连接至局域网50。当使用网络时,个人计算机20可以使用调制解调器54或用于提供与广域计算机网络(诸如互联网)的通信的其它模块。作为内部设备或外部设备的调制解调器54通过串行端口46连接至***总线23。应当注意到,网络连接仅仅是示例且不需要描述网络的确切配置,即实际上,具有通过技术通信模块建立一个计算机到另一计算机的连接的其它方式,诸如蓝牙。
在各个方面中,本文描述的***和方法可以以硬件、软件、固件或其任意组合而实现。如果以软件实现,则方法可以作为一个或多个指令或代码而存储在非暂态计算机可读介质上。计算机可读介质包括数据存储器。例如且非限制性地,这样的计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电存储介质、磁存储介质、或光存储介质、或者可以用来承载或存储以指令或数据结构的形式的期望程序代码以及可以通过通用计算机的处理器访问的任何其它介质。
在各个方面中,本发明中以模块的形式描述了***和方法。本文中使用的术语“模块”指的是使用硬件(诸如通过专用集成电路(ASIC)或现场可编程门阵列(FPGA))实现的实际的设备、部件或部件组合布置,例如,或者作为硬件和软件的组合,诸如通过微处理器***和实现模块的功能的指令集实现的实际的设备、部件或部件组合布置,该指令集(在被执行时)将微处理器***转换为专用设备。一个模块还可以被实现为两个模块的组合,其中,一些功能仅通过硬件来促进,其它功能通过硬件和软件的组合来促进。在一些实现方式中,模块的至少一部分、且在一些情况所有部分可以在通用计算机(诸如上面图3中更详细描述的通用计算机)的处理器上执行。因此,每个模块可以以各种适合的配置而实现,且不应当局限于本文示例化的任何示例性实现方式。
为了清楚,本文并没有公开所有的方面的常规特征。将会明白的是,在本发明的任何实际实现方式的发展中,必须做出多个特定实现方式的决定,以实现开发者的特定目的,且这些特定目的将针对不同的实现于和不同的开发者而变化。将会明白的是,这样的发展工作可能是复杂且耗时的,但对于了解本发明的优势的本领域普通技术人员而言是常规工程。
而且,应当理解,本文中使用的措辞或术语是出于描述目的而非限制目的,使得本说明书的术语或措辞通过本领域的技术人员根据本文示出的教导和指导结合相关技术领域的技术人员的知识而解释。而且,除非明确规定,本说明书或权利要求书中的任何术语不意在归纳为不常见或特殊的意思。
本文公开的各个方面涵盖通过说明而在本文中提到的已知模块的当前和未来知道的等同物。而且,尽管已经示出和描述了多个方面和应用,但对于了解本发明的优势的本领域的技术人员而言明显的是,在不脱离本文公开的发明性方面的情况下,比上述改动更多的改动是可行的。

Claims (14)

1.一种用于检测欺诈交易的方法,所述方法包括:
通过通信接口接收与电子交易有关的数据,所述数据包括用户动作数据和恶意软件动作数据中的至少一者;
基于在电子存储器中存储的预定的算法,通过硬件处理器分析所述数据以确定所述电子交易是否是可能的欺诈交易;
通过所述硬件处理器确定所述可能的欺诈交易是否是合法的电子交易;以及
当所述硬件处理器确定所述可能的欺诈交易是合法的电子交易时,通过所述硬件处理器调节所述预定的算法的操作参数。
2.根据权利要求1所述的方法,其中,所述与电子交易有关的数据是在预定的时间段期间由执行请求的所述电子交易的计算机执行的事件的数量。
3.根据权利要求2所述的方法,其中,由所述计算机执行的所述事件包括以下中的至少一者:键盘上的按键的激活数量;计算机鼠标的按钮的激活数量;所述鼠标或轨迹球的移动轨迹;下载网页;选择所述网页上的链接的频率;键击的时刻;以及在键击期间的错误的出现和校正。
4.根据权利要求2所述的方法,其中,所述预定的时间段是所述预定的算法的所述操作参数中的至少一个操作参数。
5.根据权利要求4所述的方法,其中,调节所述操作参数包括:
通过将由所述计算机执行的所述电子交易的平均持续时间除以由所述计算机执行的所述事件的数量,计算平均片格值;
通过将由所述计算机执行的所述电子交易的最小持续时间除以由所述计算机执行的事件的数量,计算最小片格值;
计算所述平均片格值的和所述最小片格值的相应的倒数;以及
将所述预定的时间段更新为计算的各个倒数的平均值。
6.根据权利要求4所述的方法,其中,调节所述操作参数包括:
将由所述计算机执行的所述电子交易的时间分成具有相等持续时间的多个片格;
对所述多个片格中的每一片格中的事件的数量进行计数;
计算在所述多个片格中的每一片格中的所述事件的数量的平均值和离差;
根据以下公式计算成本函数:
C n ( Δ ) = 2 k - v ( n Δ ) 2 ,
其中,k是所述平均值,v是所述离差,Δ是所述多个片格中的每一片格的所述持续时间,以及n是对所述预定的算法调节的数量;以及
更新所述预定的时间段以最小化所计算的成本函数。
7.根据权利要求4所述的方法,其中,调节所述操作参数包括:
将由所述计算机执行的所述电子交易的时间设定为单个片格;
对在所述单个片格中的事件的数量进行计数;
如果所述事件的数量大于0,则将所述单个片格分成两个相等的片格;
继续将所述两个相等的片格中的每个片格分别分成另外两个相等的片格,直到所述另外两个相等的片格中的一个片格具有0数量的事件;以及
基于具有0数量的事件的所述另外的两个相等的片格中的一个片格的片格尺寸,更新所述预定的时间段。
8.一种用于检测欺诈交易的***,所述***包括:
通信接口,所述通信接口被配置成接收与电子交易有关的数据,所述数据包括用户动作数据和恶意软件动作数据中的至少一者;以及
硬件处理器,所述硬件处理器被配置成:
基于在电子存储器中存储的预定的算法,分析所述数据以确定所述电子交易是否是可能的欺诈交易,
确定所述可能的欺诈交易是否是合法的电子交易,以及
如果所述硬件处理器确定所述可能的欺诈交易是合法的电子交易,则
调节所述预定的算法的操作参数。
9.根据权利要求8所述的***,其中,所述与电子交易有关的数据是在预定的时间段期间由执行请求的所述电子交易的计算机所执行的事件的数量。
10.根据权利要求9所述的***,其中,由所述计算机执行的所述事件能够包括以下中的至少一者:键盘上的按键的激活数量;计算机鼠标的按钮的激活数量;所述鼠标或轨迹球的移动轨迹;下载网页;选择所述网页上的链接的频率;键击的时刻;以及在键击期间的错误的出现和校正。
11.根据权利要求9所述的***,其中,所述预定的时间段是所述预定的算法的所述操作参数中的至少一个操作参数。
12.根据权利要求11所述的***,其中,所述硬件处理器被配置成通过以下来调节所述操作参数:
通过将由所述计算机执行的所述电子交易的平均持续时间除以由所述计算机执行的所述事件的数量,计算平均片格值;
通过将由所述计算机执行的所述电子交易的最小持续时间除以由所述计算机执行的事件的数量,计算最小片格值;
计算所述平均片格值的和所述最小片格值的相应的倒数;以及
将所述预定的时间段更新为计算的各个倒数的平均值。
13.根据权利要求11所述的***,其中,所述硬件处理器被配置成通过以下来调节所述操作参数:
将由所述计算机执行的所述电子交易的时间分成具有相等持续时间的多个片格;
对所述多个片格中的每一片格中的事件的数量进行计数;
计算在所述多个片格中的每一片格中的所述事件的数量的平均值和离差;
根据以下公式计算成本函数:
C n ( Δ ) = 2 k - v ( n Δ ) 2 ,
其中,k是所述平均值,v是所述离差,Δ是所述多个片格中的每一片格的所述持续时间,以及n是对所述预定的算法调节的数量;以及
更新所述预定的时间段以最小化所计算的成本函数。
14.根据权利要求11所述的***,其中,所述硬件处理器被配置成通过以下来调节所述操作参数:
将由所述计算机执行的所述电子交易的时间设定为单个片格;
对在所述单个片格中的事件的数量进行计数;
如果所述事件的数量大于0,则将所述单个片格分成两个相等的片格;
继续将所述两个相等的片格中的每个片格分别分成另外的两个相等的片格,直到所述另外的两个相等的片格中的一个片格具有0数量的事件;以及
基于具有0数量的事件的所述另外的两个相等的片格中的一个片格的片格尺寸,更新所述预定的时间段。
CN201510868287.4A 2015-02-20 2015-12-01 用于检测欺诈性在线交易的***和方法 Active CN105913257B (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2015105806/08A RU2599943C2 (ru) 2015-02-20 2015-02-20 Способ оптимизации системы обнаружения мошеннических транзакций
RU2015105806 2015-02-20
US14/721,872 US20160247158A1 (en) 2015-02-20 2015-05-26 System and method for detecting fraudulent online transactions
US14/721,872 2015-05-26

Publications (2)

Publication Number Publication Date
CN105913257A true CN105913257A (zh) 2016-08-31
CN105913257B CN105913257B (zh) 2020-04-07

Family

ID=56693202

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201510868287.4A Active CN105913257B (zh) 2015-02-20 2015-12-01 用于检测欺诈性在线交易的***和方法

Country Status (4)

Country Link
US (2) US20160247158A1 (zh)
JP (2) JP2016167254A (zh)
CN (1) CN105913257B (zh)
RU (1) RU2599943C2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107918911A (zh) * 2016-10-10 2018-04-17 卡巴斯基实验室股份制公司 用于执行安全网上银行交易的***和方法
CN110036404A (zh) * 2016-10-07 2019-07-19 世界线公司 用于检测数据流中的欺诈的***

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2014134630A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Modeling social behavior
US10528948B2 (en) * 2015-05-29 2020-01-07 Fair Isaac Corporation False positive reduction in abnormality detection system models
CN108243049B (zh) * 2016-12-27 2021-09-14 ***通信集团浙江有限公司 电信欺诈识别方法及装置
US20180308099A1 (en) * 2017-04-19 2018-10-25 Bank Of America Corporation Fraud Detection Tool
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US10616267B2 (en) * 2017-07-13 2020-04-07 Cisco Technology, Inc. Using repetitive behavioral patterns to detect malware
US10318729B2 (en) * 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
US11694293B2 (en) * 2018-06-29 2023-07-04 Content Square Israel Ltd Techniques for generating analytics based on interactions through digital channels
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US10263996B1 (en) 2018-08-13 2019-04-16 Capital One Services, Llc Detecting fraudulent user access to online web services via user flow
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
AU2019337773B2 (en) * 2018-09-11 2024-02-15 Mastercard Technologies Canada ULC Transpilation of fraud detection rules to native language source code
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
US20210035118A1 (en) * 2019-07-30 2021-02-04 Bank Of America Corporation Integrated interaction security system
US11489862B2 (en) 2020-01-22 2022-11-01 Forcepoint Llc Anticipating future behavior using kill chains
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11303672B2 (en) 2020-04-02 2022-04-12 International Business Machines Corporation Detecting replay attacks using action windows
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101421754A (zh) * 2006-04-18 2009-04-29 微软公司 安全网络商业交易
CN102426580A (zh) * 2010-09-17 2012-04-25 微软公司 检测潜在的欺诈在线用户活动
US20140359761A1 (en) * 2013-06-04 2014-12-04 Verint Systems, Ltd. System and method for malware detection learning

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2007103831A2 (en) * 2006-03-02 2007-09-13 Visa International Service Association Method and system for performing two factor authentication in mail order and telephone order transactions
US8650080B2 (en) * 2006-04-10 2014-02-11 International Business Machines Corporation User-browser interaction-based fraud detection system
GB0901407D0 (en) * 2009-01-28 2009-03-11 Validsoft Uk Ltd Card false-positive prevention
US10019744B2 (en) * 2014-02-14 2018-07-10 Brighterion, Inc. Multi-dimensional behavior device ID
US20160125290A1 (en) * 2014-10-30 2016-05-05 Microsoft Technology Licensing, Llc Combined discrete and incremental optimization in generating actionable outputs

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101421754A (zh) * 2006-04-18 2009-04-29 微软公司 安全网络商业交易
CN102426580A (zh) * 2010-09-17 2012-04-25 微软公司 检测潜在的欺诈在线用户活动
US20140359761A1 (en) * 2013-06-04 2014-12-04 Verint Systems, Ltd. System and method for malware detection learning

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110036404A (zh) * 2016-10-07 2019-07-19 世界线公司 用于检测数据流中的欺诈的***
CN107918911A (zh) * 2016-10-10 2018-04-17 卡巴斯基实验室股份制公司 用于执行安全网上银行交易的***和方法

Also Published As

Publication number Publication date
US20190057388A1 (en) 2019-02-21
RU2015105806A (ru) 2016-09-10
RU2599943C2 (ru) 2016-10-20
JP2016167254A (ja) 2016-09-15
US20160247158A1 (en) 2016-08-25
CN105913257B (zh) 2020-04-07
JP6472771B2 (ja) 2019-02-20
JP2016224929A (ja) 2016-12-28

Similar Documents

Publication Publication Date Title
CN105913257A (zh) 用于检测欺诈性在线交易的***和方法
JP6389302B2 (ja) 各種バンキングサービスとユーザの対話における疑わしいユーザ行動の識別のためのシステム及び方法
US10516698B2 (en) Honeypot computing services that include simulated computing resources
US10044730B1 (en) Methods, systems, and articles of manufacture for implementing adaptive levels of assurance in a financial management system
US10091180B1 (en) Behavioral profiling method and system to authenticate a user
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
US7908645B2 (en) System and method for fraud monitoring, detection, and tiered user authentication
US10320841B1 (en) Fraud score heuristic for identifying fradulent requests or sets of requests
US10373135B2 (en) System and method for performing secure online banking transactions
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
US11785030B2 (en) Identifying data processing timeouts in live risk analysis systems
RU2767710C2 (ru) Система и способ обнаружения удаленного управления средством удаленного администрирования с использованием сигнатур
US10580004B2 (en) System and method of identifying new devices during a user's interaction with banking services
RU2659736C1 (ru) Система и способ выявления новых устройств при взаимодействии пользователя с банковскими сервисами
EP3059694B1 (en) System and method for detecting fraudulent online transactions
RU2758359C1 (ru) Система и способ выявления массовых мошеннических активностей при взаимодействии пользователей с банковскими сервисами
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
CN117134999B (zh) 一种边缘计算网关的安全防护方法、存储介质及网关
RU2762527C1 (ru) Система и способ контроля операций при взаимодействии пользователя с удаленными сервисами
EP3276559A1 (en) System and method of identifying suspicious user behaviour in a user's interaction with various banking services

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant